2016年7月29日金曜日

opsec_pull_cert

opsec_pull_cert -h [CMAIP] -n [OPSEC-Obj] -p [ONETIMEPASSWORD] -o [OUTPUTFILE<opsec.p12>]

./opsec_pull_cert -h xxx.xxx.xxx.xxx -n ABCDEFG -p xxxxxxx -o opsec.p12

動きはCMAとOPSECオブジェクトの名前とonetimeパスワードを使用し、CMAから"ICA_CRL0.crl"の情報の入った証明書を持ってくる

コマンドを実行すると tcp/18210 で通信する
(tcpdump 確認済み)

出力されたファイルを念のため確認(見える範囲の文字で設定に間違いがないか)

strings opsec.p12
od -Ax -tx1z opsec.p12
hexdump -C opsec.p12
xxd opsec.12


CRL(Certificate Revocation List)とは・・・証明書失効リスト

Sample error
SIC Error for lea: Could not retrieve CRL..

./opsec_pull_cert -h xxx.xxx.xxx.xxx -n ABCDEFG -p xxxxxxx -o opsec.p12

Opsec error. rc=-1 err=-93 The referred entity does not exist in the Certificate Authority


●IP間違うと反応が遅い/無い
./opsec_pull_cert -h xxx.xxx.xxx.xxx -n ABCDEFG -p xxxxxxx -o opsec.p12

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk11544



※証明書のCRL配布ポイント(CRLDP)拡張には該当CRLのURLが含まれ、これにより証明書の検証時に正しいCRLが取り込まれます。


Thanks...

http://dl3.checkpoint.com/paid/f4/CheckPoint_R65_SmartCenter_AdminGuide_J.pdf?HashKey=1453122429_1d61e913ca5af7610dfae4085c8fc6df&xtn=.pdf








0 件のコメント:

コメントを投稿